В последнее время пользователи беспроводных локальных сетей озабочены их недостаточной защищенностью. Однако не все так удручающе в реальной жизни — современные технологии безопасности смогут оградить WLAN от вторжений

Беспроводные технологии локальных сетей (WLAN) сегодня переживают настоящий бум. Например, в 2001 году в мире было продано более 7 млн устройств для WLAN притом что в 2000 году их было поставлено 3,3 млн (данные Cahners In-Stat). В то же время рост продаж таких систем за второй квартал 2002 года по сравнению с аналогичным периодом 2001 года составил 10 % (отчет In-Stat/MDR).

Примечательно, что WLAN уже перестали применяться только в локальных сетях. Сегодня, как из рога изобилия, беспроводные решения семейства 802.11 начали появляться в общественных местах (можно встретить название Hot Spots — "горячие пятна") — аэропортах, гостиницах, ресторанах, библиотеках и др.

Действующих примеров такого внедрения уже предостаточно — сеть гостиниц Starwood Hotels и Marriott International в США, аэропорт в Брюсселе, университет в Твенте (Голландия), авиалайнеры компании Boeing Connexion. Примечательно, что в Украине уже обсуждается проект создания такого "горячего пятна" в аэропорту "Борисполь".

Поэтому недаром IDC прогнозирует, что к 2005 году в мире количество беспроводных точек доступа AP (Access Point), установленных в общественных местах, превысит 118 тыс. Для сравнения, сегодня в наиболее "продвинутом" в отношении Hot Spots регионе — Северной Америке — число таких AP составляет 3,7 тыс.

Стоит ли удивляться такой популярности WLAN-решений? Ведь огромное преимущество беспроводных локальных сетей — полная свобода от шнуров и розеток. Оснастив свой ПК беспроводным адаптером, пользователь может беспрепятственно перемещать свое рабочее место в пределах офиса, здания и даже микрорайона, то есть там, где распространяется действие WLAN. Если же оснастить радиокартой мобильное устройство (ноутбук или карманный компьютер), то, попав в Hot Spots, владельцы таких устройств смогут беспрепятственно получать доступ в Интернет, пользоваться электронной почтой, а также продолжать работать в корпоративной сети.

Правда, как оказалось, на роль эффективного средства связи в корпоративном секторе, где предъявляются повышенные требования к безопасности информации, WLAN-решения не всегда пригодны.

Кто виноват?

Первые беспроводные сети стандарта IEEE 802.11 появились еще в 1997 году. Они переняли от своих кабельных собратьев основные методы взаимодействия сетевых устройств (прежде всего технологию доступа к среде), не забыв при этом и о сетевой безопасности. Известными методами безопасности в ЛВС считаются шифрование данных и аутентификация пользователей (процедура установления подлинности абонента, например, по введенному паролю, определенному ответу на вопрос и др.). Со средствами аутентификации обычно все ясно — обычно эти функции ложатся на плечи специальных серверов доступа. А вот в шифровании нередко кроются все основные функции защиты сети.

Так задачи по шифрованию в радиоканалах были успешно возложены на технологию WEP (Wired Equivalent Privacy), которая осуществляла кодирование информации с помощью

40-разрядного секретного ключа RC4. Казалось бы, вопрос безопасности был решен окончательно. Да только создатели вышеизложенных методов не учли, что в проводных сетях информация остается практически заключенной в кабеле, а в беспроводных — не имеет физических границ.

В апреле 2001 года в газете Wall Street Journal появилась статья, в которой рассказывалось, как два молодых хакера, путешествуя по Кремниевой долине с ноутбуком и адаптером 802.11b, беспрепятственно подключались к сетям таких компаний, как Sun Microsystems, 3Com и Nortel Networks. Спустя несколько месяцев специалисты по криптографическим системам Скотт Флюрер из компании Cisco Systems, Ицик Мантин и Ади Шамир из израильского института вычислительной техники Weizmann опубликовали статью о слабых местах технологии шифрования RC4, на которой основан протокол WEP. В этом же году студент университета Rice (США) Адам Стаблфилд и два сотрудника лаборатории AT&T Research — Джон Иоаннидес и Авель Д. Рубин успешно применили на практике идеи вышеназванных исследователей. С помощью ПК со стандартной радиокартой и специальных драйверов (их теперь можно найти в Интернете) им удалось записать сотни тысяч пакетов данных из сети 802.11b, в которой был включен алгоритм WEP.

Чуть позже шуму наделали и специалисты компании I-sec, занимающейся вопросами безопасности. Соорудив антенну к радиоадаптеру из банки из-под чипсов, они обнаружили и проникли в несколько десятков беспроводных сетей в финансовом квартале Лондона, тем самым устроив эффективную демонстрацию уязвимости беспроводных сетей.

Такое положение вещей оттолкнуло многих потенциальных заказчиков (особенно финансовые структуры, банки и корпорации) от идеи быстрого внедрения беспроводных сетей, а разработчиков подхлестнуло к созданию новых решений, позволяющих "залатать" дыры в безопасности WLAN.

Совершенствуем протоколы

Как оказалось, все беды беспроводных сетей кроются в технологии кодирования данных WEP, которая для шифрования информации предполагает совместное использование статического 40-разрядного ключа и 24-битового вектора инициализации IV (Initialization Vector). Причем вектор как бы усиливает защиту слабого ключа (прежде всего из-за его невысокой разрядности), дополняя зашифрованный пакет своей уникальной комбинацией (новое значение для каждого соединения), доступной из 24-разрядного поля.

Однако слабость WEP, как оказалось, проистекает из-за плохого применения вектора инициализации. Так как IV обладает длиной всего в 24 бита, то он повторится в беспроводной точке доступа (при трансляции пакетов по 1,5 КБ на скорости 11 Мб/с) не более чем через 5 часов. За это время можно передать до 24 ГБ данных.

Поэтому вполне реально записать передаваемые данные на ноутбук с радиоадаптером (сидя, например, в машине в зоне действия WLAN) и получить пакеты с одинаковым вектором и, следовательно, идентичными ключами шифрования (поскольку они статичны). После записи от пяти до десяти миллионов таких пакетов специальные программы предоставляют ключ WEP за секунду, а следовательно, и безграничный доступ в корпоративную сеть.

Чтобы хоть как-то спасти положение, IEEE предложил использовать в оборудовании WLAN 128-разрядный алгоритм WEP (24-разрядный IV и 104-разрядный секретный ключ). Увеличение длины ключа усложнило задачу злоумышленнику в расшифровке данных (более мощные вычислительные ресурсы необходимо задействовать, да и на обработку пакетов с одинаковым IV потребуется больше времени), хотя и не устранило проблему безопасности полностью. Кроме того, при включении 128-разрядного WEP у точек доступа наблюдается снижение производительности на 20—30 %. Правда, в более скоростных сетях стандартов 802.11а и 802.11g (предусмотрены скорости до 54 Мб/с) такое снижение производительности будет не столь заметным по сравнению с сетями 802.11b (скорости до 11 Мб/с).

Несмотря на то что новый WEP и не решает полностью проблемы безопасности передаваемых данных, он достаточно широко применяется в оборудовании WLAN многих производителей. Например, его можно по необходимости включить в современных точках доступа стандарта 802.11a — Avaya AP-3 (Avaya), Pro/Wireless 500 (Intel), EZ Connect 2755W (SMC), DWL-5000AP (D-Link), Mobius 5224 (Symbol Technologies) и др.

Стоит отметить, что существуют и фирменные разработки методов шифрования, которые хотя и обеспечивают высокую степень защиты, но непригодны для применения в "мультивендорных" беспроводных сетях. Например, в серии продуктов Aironet компании Cisco применяется протокол LEAP, обеспечивающий аутентификацию с сервером доступа Cisco RADIUS Server (Access Control Server 2000). При этом в продукции Aironet используются динамические WEP-ключи, которые меняются в зависимости от клиента и сеанса связи.

Каждый абонент получает уникальные ключи для сессии, которые не используются совместно ни с каким другим клиентом сети. Передаваемые по WLAN ключи WEP шифруются посредством LEAP перед тем, как отсылаться пользователям. Защита передаваемых паролей после аутентификации совместно с предоставлением уникальных ключей шифрования делает вторжение в сеть маловероятной. Cмена ключей WEP в зависимости от сессии и клиента также происходит в точках доступа RoamAbout R2 компании Enterasys и в изделиях Harmony (Proxim).

Защита гарантируется Несмотря на то что в беспроводных локальных сетях существуют некоторые проблемы с безопасностью, их все же можно надежно защитить. Так, администраторы сетей в качестве средств защиты могут использовать метод BSS (Basic Service Set) для авторизации пользователей в сети и группе (точкам доступа присваивается идентификатор сети, который известен клиентам), контроль доступа по MAC-адресам клиентских устройств, аутентификацию пользователей с использованием случайных векторов инициализации и др. Кроме того, в новых WLAN-устройствах планируется поддержка технологии IPSec для построения VPN-каналов. Чтобы повысить степень защищенности сети, можно также применить дополнительно программы универсальной аутентификации пользователя (например, продукт eToken компании Aladdin).

В поисках новизны

Очевидно, что на косметическом совершенствовании WEP дело не закончилось, ведь корпоративный рынок требует стопроцентную гарантию надежности плюс применение стандартных решений, освобождающих от привязки к конкретному поставщику.

Так, институтом IEEE был предложен новый стандарт безопасности IEEE 802.1x, ориентированный как на беспроводные, так и проводные сети. В нем предусмотрена аутентификация пользователей с помощью протокола EAP (Extensible Authentication Protocol) и сервера доступа RADIUS (Remote Access Dial-in User Server), а также шифрование и распределение секретных ключей между клиентами (динамичный метод). По аналогии с некоторыми фирменными методами, в 802.1x после процедуры аутентификации клиенты получают в зашифрованном виде уникальный ключ для установившегося сеанса связи. После смены такого сеанса меняется и секретный 128-разрядный ключ.

Стоит отметить, что сегодня все больше производителей сетевых продуктов начинают осуществлять поддержку 802.1x. Например, недавно Microsoft внедрила средства защиты этого стандарта в ОС Windows 2000 и Windows XP. При этом для передачи запроса/ответа между сервером доступа, AP и клиентом используется протокол EAP. В свою очередь компания Intel в своем новом решении Intel Centrino для мобильных компьютеров (включающих радиоинтерфейс PRO/Wireless 2100 для сетей 802.11b) также наравне с WEP поддерживает стандарт 802.1x.

Без комплекса мер не обойтись В настоящее время нет единственного метода, который позволил бы решить все проблемы безопасности WLAN-сетей. Как и в проводных сетях, эффективную защиту в беспроводных сетях может обеспечить только комплекс мер. Например, члены организации Wi-Fi рекомендуют выполнять следующие меры информационной безопасности: доступ-контроль на каждом порту сетевого устройства (стандарт 802.1x); использовать 128-разрядный алгоритм WEP, изменив при этом секретный ключ, установленный по умолчанию в AP; применять шлюз VPN (IPSec) для сверхсекретной информации; не позволять точке доступа передавать в радиоканале открытый код идентификации сети SSID; изменить установленные по умолчанию пользовательские пароли доступа; по необходимости применять дополнительные меры безопасности высокого уровня (межсетевые экраны, антивирусное ПО и др.).

Туннель для данных

Стоит упомянуть и о других средствах защиты, которые способны сделать беспроводную сеть практически неприступной даже при условии, что в ней можно задействовать лишь WEP. Если допустить, что беспроводная часть корпоративной сети является внешней (например, по аналогии с общедоступным Интернетом), то почему бы ее не оградить от посягательств с помощью технологии виртуальных частных сетей VPN (Virtual Private Network). Ведь последняя как раз и была разработана для безопасного соединения клиентских систем с серверами по общедоступным каналам Интернета.

Для этого в технологии VPN используются мощные, хорошо зарекомендовавшие себя с точки зрения надежности механизмы аутентификации и шифрования. Фактически VPN-соединения представляют собой туннель между двумя конечными точками (в нашем случае AP и клиентом), защищающий информационные пакеты от перехвата. Сегодня существуют различные технологии шифрования в VPN, но наибольшее распространение получили PPTP, L2TP и IPSec. Причем на IPSec в мире работает уже 65 % всех защищенных с помощью VPN сетей. В качестве же алгоритмов шифрования информационных пакетов применяются DES, Triple DES, AES и MD5.

Для запуска подобной защиты компаниям необходимо установить в сети дополнительно VPN-шлюз (создающий туннели), а на клиентских устройствах — соответствующую программу. При этом шлюзы VPN могут быть реализованы программно или аппаратно. Программные решения, как правило, размещаются на отдельном компьютере или сервере и работают под ОС Windows NT/2000/XP, Sun Solaris, Linux и др. Среди известных производителей программных версий VPN можно отметить Axent Technologies, Check Point, Microsoft, Novell, Net Guard и др. Как правило, эти компании поставляют "софт" как для сетевого шлюза, так и клиентского оборудования. Например, в ближайшем будущем в решении для мобильных ПК Intel Centrino будет использоваться встроенное клиентское ПО Check Point VPN-1 SecureClient.

Аппаратные шлюзы выполнены в виде отдельного устройства, включающего в себя процессор, память, систему шифрования и специальное ПО. При установке в сети эти устройства практически не требуют сложной настройки и в дальнейшем не нуждаются в специальном обслуживании. Кроме того, в железных VPN-шлюзах можно дополнительно разместить и межсетевой экран, который дополнительно к шифрованию сможет фильтровать нежелательные пакеты (например, вирусы, DoS-атаки и др.). Среди аппаратных систем, поставляемых на украинский рынок, можно отметить Avaya VPN Firewall 80 (производитель Avaya), Cisco 1720 VPN Router (Cisco Systems), Intel Express 8205 VPN (Intel), 3Com OfficeConnect NetBuilder (3Com), ZyWALL (ZyXEL) и др.

Недостатками VPN-решений во WLAN является опять же снижение производительности радиоканалов (до 40 %), а также дополнительные затраты на VPN-шлюз и клиентское ПО (например, стоимость одного VPN-шлюза находится в пределах $300—1000). Кроме того, VPN-устройства не всегда совместимы с такими традиционными системами безопасности, как межсетевые экраны, анализирующими входящие пакеты перед допуском их в сеть. Это вызвано тем, что VPN скрывают находящуюся в пакете информацию, а межсетевые экраны вынуждены отклонять зашифрованные пакеты как потенциально опасные.

Защита без правил

Следует понимать, что идеальной защиты как проводных, так и беспроводных сетей не существует. Например, человеческий фактор может свести на нет все самые современные средства защиты, если, скажем, пользователь приклеит свой пароль на крышке ноутбука или клавиатуре ПК. Хотя в этом случае можно попытаться решить проблему безалаберности, например, добавив в сеть средства аудита и проверки политик (определяют, с какими ресурсами может работать тот или иной пользователь).

Нелишним будет применение в сетях, где требования к защите конфиденциальности информации достаточно высоки, систем обнаружения атак, которые обеспечивают комплексную защиту от прослушивания, вторжения, DoS-атак (отказ в обслуживании), от вирусов и др. При этом они осуществляют аутентификацию и функции межсетевого экрана. Правда, на такие системы придется раскошелиться, выложив от $3 тыс. до $10 тыс. в зависимости от размеров сети и функциональных возможностей. Среди же известных систем такого типа можно назвать Cisco IDS (Сisco Systems) и Dragon (Enterasys).

В целом же специалисты рекомендуют применять все возможные средства защиты (даже если это будет 40-разрядный WEP), которые позволят если не полностью устранить вторжение в сеть и перехват информации, то уж наверняка усложнят жизнь любителям половить рыбку в чужом пруду.

[Беспроводные сети передачи данных в Украине ]